Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo /usr/local/nagiosxi/html/admin/sshterm.php en una URL en Nagios XI (CVE-2021-25299)
Fecha de publicación:
15/02/2021
Idioma:
Español
Nagios XI versión xi-5.7.5, esta afectada por una vulnerabilidad de tipo cross-site scripting (XSS). La vulnerabilidad se presenta en el archivo /usr/local/nagiosxi/html/admin/sshterm.php debido a un saneamiento inapropiado de la entrada controlada por el usuario. Una URL maliciosamente, cuando un usuario administrador hace clic en ella, puede ser usada para robar las cookies de su sesión o puede ser encadenada con los bugs previos para obtener una ejecución de comandos remota (RCE) con un solo clic en el servidor de Nagios XI
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2021

Vulnerabilidad en una plantilla en el paquete lodash y en el paquete org.fujion.webjars:lodash (CVE-2021-23337)
Fecha de publicación:
15/02/2021
Idioma:
Español
Las versiones de Lodash anteriores a la 4.17.21 son vulnerables a la inyección de comandos a través de la función de plantilla
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2022

Vulnerabilidad en una única petición HTTP en el archivo /usr/local/nagiosxi/html/includes/configwizards/cloud-vm/cloud-vm.inc.php en Nagios XI (CVE-2021-25298)
Fecha de publicación:
15/02/2021
Idioma:
Español
Nagios XI versión xi-5.7.5, esta afectada por una inyección de comandos del Sistema Operativo. La vulnerabilidad se presenta en el archivo /usr/local/nagiosxi/html/includes/configwizards/cloud-vm/cloud-vm.inc.php debido a un saneamiento inapropiado de la entrada controlada por el usuario autenticado mediante una única petición HTTP, lo que puede conducir a una inyección de comandos del Sistema Operativo en el servidor de Nagios XI
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en una única petición HTTP en el archivo /usr/local/nagiosxi/html/includes/configwizards/switch/switch.inc.php en Nagios XI (CVE-2021-25297)
Fecha de publicación:
15/02/2021
Idioma:
Español
Nagios XI versión xi-5.7.5, esta afectada por una inyección de comandos del Sistema Operativo. La vulnerabilidad se presenta en el archivo /usr/local/nagiosxi/html/includes/configwizards/switch/switch.inc.php debido a un saneamiento inapropiado de la entrada controlada por el usuario autenticado mediante una única petición HTTP, lo que puede conllevar a una inyección de comandos del sistema operativo en el servidor de Nagios XI
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en una única petición HTTP en el archivo /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php en Nagios XI (CVE-2021-25296)
Fecha de publicación:
15/02/2021
Idioma:
Español
Nagios XI versión xi-5.7.5, esta afectada por una inyección de comandos del Sistema Operativo. La vulnerabilidad se presenta en el archivo /usr/local/nagiosxi/html/includes/configwizards/windowswmi/windowswmi.inc.php debido a un saneamiento inapropiado de la entrada controlada por el usuario autenticado mediante una única petición HTTP, que puede conllevar a una inyección de comandos del el servidor de Nagios XI
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en urllib.parse.parse_qsl y urllib.parse.parse_qs en el paquete python/cpython (CVE-2021-23336)
Fecha de publicación:
15/02/2021
Idioma:
Español
El paquete python/cpython desde versiones 0 y anteriores a 3.6.13, desde versiones 3.7.0 y anteriores a 3.7.10, desde versiones 3.8.0 y anteriores a 3.8.8, desde versiones 3.9.0 y anteriores a 3.9.2, son vulnerables al envenenamiento de caché web por medio de urllib.parse.parse_qsl y urllib.parse.parse_qs usando un vector llamado encubrimiento de parámetros. Cuando el atacante puede separar los parámetros de la consulta usando un punto y coma (;), pueden causar una diferencia en la interpretación de la petición entre el proxy (que se ejecuta con la configuración predeterminada) y el servidor. Esto puede resultar en que las peticiones maliciosas se almacenen en caché como completamente seguras, ya que el proxy normalmente no vería el punto y coma como un separador y, por lo tanto, no lo incluiría en una clave de caché de un parámetro sin clave
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/12/2025

Vulnerabilidad en las funciones toNumber, trim y trimEnd en el paquete lodash y el paquete org.fujion.webjars:lodash (CVE-2020-28500)
Fecha de publicación:
15/02/2021
Idioma:
Español
Las versiones de Lodash anteriores a la 4.17.21 son vulnerables a la denegación de servicio por expresiones regulares (ReDoS) a través de las funciones toNumber, trim y trimEnd
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2022

Vulnerabilidad en comprobación de una URL con funciones como filter_var ($url, FILTER_VALIDATE_URL) en PHP (CVE-2020-7071)
Fecha de publicación:
15/02/2021
Idioma:
Español
En PHP versiones 7.3.x por debajo de 7.3.26, 7.4.x por debajo de 7.4.14 y 8.0.0, cuando se comprueba una URL con funciones como filter_var ($url, FILTER_VALIDATE_URL), PHP aceptará una URL con una contraseña no válida como una URL válida. Esto puede conllevar a funciones que dependen de que la URL sea válida para analizar inapropiadamente la URL y producir datos incorrectos como componentes de la URL
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2022

Vulnerabilidad en la extensión SOAP para conexión con un servidor SOAP en PHP (CVE-2021-21702)
Fecha de publicación:
15/02/2021
Idioma:
Español
En PHP versiones 7.3.x por debajo de 7.3.27, 7.4.x por debajo de 7.4.15 y 8.0.x por debajo de 8.0.2, cuando se usa la extensión SOAP para conectarse a un servidor SOAP, un servidor SOAP malicioso podría devolver datos XML malformados como respuesta eso haría que PHP acceda a un puntero null y, por tanto, causaría un bloqueo
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2021

Vulnerabilidad en la página de reporte del plugin Jira Projects en Atlassian Jira Server y Data Center (CVE-2020-29451)
Fecha de publicación:
15/02/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos enumerar proyectos de Jira por medio de una vulnerabilidad de divulgación de información en la página de reporte del plugin Jira Projects. Las versiones afectadas son anteriores a la versión 8.5.11, desde la versión 8.6.0 anteriores a 8.13.3 y desde la versión 8.14.0 anteriores a 8.14.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2022

Vulnerabilidad en los endpoints ViewWorkflowSchemes.jspa y ListWorkflows.jspa en Atlassian Jira Server y Data Center (CVE-2020-36236)
Fecha de publicación:
15/02/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en los endpoints ViewWorkflowSchemes.jspa y ListWorkflows.jspa. Las versiones afectadas son anteriores a la versión 8.5.11, desde la versión 8.6.0 anteriores a 8.13.3 y desde la versión 8.14.0 anteriores a 8.15.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la vista Screens Modal en Atlassian Jira Server y Data Center (CVE-2020-36234)
Fecha de publicación:
15/02/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la vista Screens Modal. Las versiones afectadas son anteriores a la versión 8.5.11, desde la versión 8.6.0 anteriores a 8.13.3 y desde la versión 8.14.0 anteriores a 8.15.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022
Suscribirse a Vulnerabilidades